Datenschutz für Websitebetreiber: So wird Ihre Website DSGVO-konform – Rolf Schneider GmbH | Externer Datenschutzbeauftragter Düsseldorf

Zunächst ist es wichtig festzustellen, dass die Website eine Datenschutzerklärung benötigt um DSGVO konform sein zu können. Man könnte meinen, dass wenn man keine personenbezogenen Daten verarbeitet, wie z.B. über ein Kontaktformular, keine Datenschutzerklärung benötigt wird.

Allerdings werden grundsätzlich auf jeder Website personenbezogene Daten verarbeitet. Sei es durch Social Media Plug-ins oder eine Anmeldung zum Newsletter. Selbst das Besuchen der Seite durch den User führt meistens bereits zu einer Verarbeitung von personenbezogenen Daten. Sollten Sie überhaupt keine Tools auf Ihrer Website verwenden wird zumindest die IP-Adresse des Users durch den Host Ihrer Website gespeichert und diese gilt auch als personenbezogenes Datum.

Das Fazit daraus ist, dass sobald Sie eine Website haben diese auch eine Datenschutzerklärung haben muss.

Häufige Datenschutzmängel bei Webseiten

Der häufigste Mangel ist, dass es gar keine Datenschutzerklärung gibt oder diese nicht vollständig ist. Sollten Sie diese aber wie unter “Was muss in der Datenschutzerklärung stehen?” aufgebaut haben sind Sie grundsätzlich gut aufgestellt.

Der Mängel den wir am häufigsten feststellen ist, dass die Datenschutzerklärung nicht wie vom Gesetz vorgeschrieben von überall auf der Website und von jeder Unterseite leicht (mit einem Klick) zu erreichen ist.

Meist ist die einfachste Lösung die Unterseite der Datenschutzerklärung im Footer oder Header unterzubringen, ähnlich dem Impressum.
Dabei handelt es sich nur um die korrekten Rahmenbedingungen und Vollständigkeit. Das Ganze wird dann bei der inhaltlichen Bearbeitung deutlich komplizierter.

Viele Plug-Ins für Social Media wie Facebook, Instagram und Twitter und andere Tools wie z.B. YouTube, Google Maps, Google Fonts und Google Analytics werden falsch verwendet oder die Einwilligung wird nicht korrekt eingeholt. Dabei ist es schwierig die Übersicht zu behalten, da es häufig so ist, dass die Website bereits etwas älter ist und die Person die diese erstellt hat nicht mehr ansprechbar ist oder von mehreren Personen über einen längeren Zeitraum betreut wurde. Sie wären erschrocken, wenn Sie wüssten wie unaufgeräumt und damit auch anfällig für Angriffe viele Websites sind und dass die für die Website letztendlich Verantwortlichen in vielen Fällen gar nicht wissen, dass Sie überhaupt personenbezogene Daten erheben.

Sollte es sich um eine recht neue und kleine Website handeln bei der wenige oder gar keine Tools verwendet werden, ist es eventuell möglich dies auch ohne fachliche Unterstützung zu bewältigen. Ein Rest Unsicherheit wird aber in der Regel bleiben. Im Grunde ist es am sinnvollsten, die Website von einem Fachmann prüfen zu lassen, da die Website Ihre Visitenkarte nach Außen ist. Außerdem ist sie für alle Welt sichtbar und damit auch das höchste Risiko für Abmahnungen oder für jeden sofort sichtbare Datenschutzverstöße.

Checkliste für eine DSGVO-konforme Website

Verschlüsselung/SSL-Zertifikat zwingend erforderlich bei Kontaktformularen oder anderweitiger Erhebung von personenbezogenen Daten.
Datenschutzerklärung muss vorhanden und vollständig sein. Sie muss von jeder Seite aus mit einem Klick erreichbar sein, genauso wie das Impressum. Vollständig heißt an dieser Stelle, dass alle Datenübermittlungen von dieser Seite erklärt und aufgelistet sind.
Social Media Plugins dürfen nicht durch einfaches ansurfen der Seite aktiviert werden, sondern dürfen erst aktiv werden, wenn sie aktiv angeklickt werden.
Eingebettete Videos – Wenn z.B. YouTube Videos auf der Seite eingebunden werden, muss verhindert werden, dass ohne aktive Handlung des Besuchers Personenbezogene Daten, wie z.B. die IP-Adresse des Besuchers an YouTube übermittelt werden.
Google Analytics (bzw. Tracking allgemein) müssen komplett abgeschaltet werden oder entsprechend in der Datenschutzerklärung dargelegt werden. Google Fonts müssen, wenn sie verwendet werden, datenschutzkonform eingebunden werden..
Cookies – Cookies dürfen im Prinzip nicht ohne Zustimmung des Besuchers gesetzt werden. Es gibt verschiedene Modelle sich diese Einwilligung einzuholen. Über das ideale Verfahren gibt es noch keine endgültige Einigung. Das ist aber ein Thema das sich in diesem kurzen Format nicht erfüllend und abschließend klären lässt.
DSGVO-konformes Hosting bedeutet im Prinzip, dass die Server innerhalb der EU stehen und dass die entsprechenden Auftragsdatenverarbeitungsverträge abgeschlossen wurden.

Wozu dient die Datenschutzerklärung?

Die Datenschutzerklärung dient der Information des Websitebesuchers und sorgt dafür, dass der Websitebetreiber seiner gesetzlichen Informationspflicht nachkommt. Sie informiert den Websitebesucher darüber ob und wenn ja wie und welche seiner Daten gesammelt und verarbeitet werden. Auf welcher rechtliche Grundlage diese verarbeitet werden, wer diese Daten erhält, wie für die Sicherheit der Daten gesorgt wird und welche Rechte der Websitebesucher bezüglich seiner Daten dem Verarbeiter gegenüber hat.

Die Datenschutzerklärung ist zwingend von einer datenschutzrechtlichen Einwilligung zu unterscheiden, da der Websitebesucher in diese aktiv einwilligen muss.

Welche Websites sind zu einer Datenschutzerklärung verpflichtet?

Ist Ihre Website öffentlich zugänglich benötigen Sie grundsätzlich eine Datenschutzerklärung. Das liegt daran, dass auch eine IP-Adresse als personenbezogenes Datum gilt und dieses grundsätzlich vom Hoster für eine gewisse Zeit gespeichert wird.

Was muss in der Datenschutzerklärung stehen?

Eine Datenschutzerklärung muss über folgende Punkte Informieren:

Welche personenbezogenen Daten werden erfasst.
Zu welchem Zweck werden diese Daten erfasst.
Wie werden diese Daten genutzt.
Werden diese Daten an Dritte weitergegeben und wenn ja, zu welchem Zweck.
Mit welchen Tools werden die Daten erhoben.
Die Rechte des Nutzers.
Werden die Daten an Stellen außerhalb der EU weitergegeben.
Wie wird die Sicherheit der Daten gewährleistet.

Was passiert bei Missachtung der Datenschutzbestimmungen?

Grundsätzlich kann bei der Missachtung der Datenschutzbestimmungen ein Bußgeld von bis zu 20 Millionen Euro oder bis zu 4% des weltweiten Jahresumsatzes eines Unternehmens verhängt werden, dabei hängt es davon ab welchem Betrag höher ist. In Deutschland besteht bei einem Verstoß gar die Möglichkeit auf eine Freiheitsstrafe von bis zu zwei Jahren.

Wie erstelle ich eine Datenschutzerklärung?

Grundsätzlich haben Sie drei Möglichkeiten Ihre Datenschutzerklärung zu erstellen.

Sie erstellen Ihre Datenschutzerklärung selber. Es gibt im Internet eine Reihe von Anleitungen, mit denen Sie unter zur Hilfenahme der einschlägigen Gesetztestexte und Rechtsprechung Ihre Datenschutzerklärung von Grund auf selber schreiben können. Darüber hinaus müssen Sie sich dann mit jedem personenbezogenem Datum das Sie erfassen und mit jedem auf der Website verwendeten Tool genauestens auseinandersetzen, um diese richtig in der Datenschutzerklärung festzuhalten.
Sie nutzen einen von vielen Onlinegeneratoren bei dem Sie sich durchklicken der dann eine generische Datenschutzerklärung erstellt. Diese erhalten Sie dann aber nur wenn Sie dem Ersteller zusichern, dass dieser keinerlei Verantwortung für die Richtigkeit dieser Datenschutzerklärung übernimmt und von jeder Haftung ausgeschlossen ist. Dann müssen Sie das noch etwas anpassen und auf Ihrer Website einbauen.
Sie lassen sich Ihre Datenschutzerklärung durch einen qualifizierten externen Dienstleister wie z.B. uns genau auf Ihre Bedürfnisse abgestimmt erstellen.

Wie hole ich DSGVO-konforme Einwilligungen ein?

Häufig reicht auch eine reine Information, die nicht aktiv bestätigt werden muss. Dies kommt auf den Zusammenhang an in dem die Einwilligung eingeholt werden soll und ist dadurch immer eine Einzelfallentscheidung.

Was ist Auftragsdatenverarbeitung?

Das ist ein Vertrag der zwingend abgeschlossen werden muss wenn jemand anderes in Ihrem Auftrag und für Sie personenbezogene Daten verarbeitet. Dieser Vertrag soll sicherstellen, dass Ihr Vertragspartner sich ebenfalls an die DSGVO halten wird. Ein typischer Vertragsbestandteil sind die TOM´s des Auftragsdatenverarbeiters. Typische Fälle für eine Auftragsdatenverarbeitung sind z.B. Lohnbuchhaltung, Aktenvernichtung, Marketingagenturen und Webhoster.

Noch Fragen? Kontaktieren Sie uns!